وضعیت تایید هویت بانک‌ها/موسسات مالی

صنعت مالی به عنوان یکی از صنایع هدف اصلی حملات سایبری و تحت نظارت دقیق نهادهای نظارتی، عموماً از نوآوری‌های امنیت سایبری استقبال می‌کند. با این حال، همچنان اخباری مربوط به حملاتی که پروتکل‌های محافظت از احراز هویت و دسترسی به خدمات و سیستم‌های موسسات مالی را دور می‌زنند، شنیده می‌شود. گزارشی اخیرا توسط شرکت Vanson Bourne بر اساس مصاحبه با 500 تصمیم‌گیرنده فناوری اطلاعات و امنیت در موسسات مالی انجام شده است. نتایج نشان می‌دهد که روش‌های احراز هویت مورد استفاده توسط بانک‌ها و سایر سازمان‌های مالی (همچون تایید هویت چندعاملی سنتی – MFA) باعث ایجاد شکاف‌های امنیتی و حتی اختلال کلی در عملیات و انواع حملات همچون فیشینگ می‌شود.

 

سازمان‌های مالی با تهدیدات سایبری مداوم و در حال تکامل مواجه هستند

تقریباً همه (94%) از سازمان‌های خدمات مالی مورد بررسی در 12 ماه پیشین با نوعی حمله مواجه شده‌اند. فیشینگ رایج‌ترین نوع حمله بوده است، و حملات پر کردن اعتبارنامه (Credential Stuffing) و بدافزار به ترتیب دومین و سومین نوع حمله رایج هستند. باج‌افزار نیز همچنان یک شیوه حمله مکرر است که حدود 34% از سازمان‌های خدمات مالی مورد بررسی در 12 ماه گذشته مورد حمله توسط آن قرار گرفته‌اند.

 

روش‌های تایید هویت در حال ایجاد خطر

در حالی که همه حملات موفقیت‌آمیز نبودند، 85% از سازمان‌ها به دلیل این حملات دچار نقض سایبری شدند. برای بسیاری، عواقب آن شدید بوده، همچون از دست دادن داده‌های کارمندان و مشتریان که منجر به جریمه‌های نظارتی شده است.

دیگر گزارش‌های صنعت، از جمله آخرین گزارش Verizon DBIR، مسائل مربوط به اعتبارنامه را به عنوان مهم‌ترین عامل حمله در بخش مالی نام می‌برند. بنابراین جای تعجب نیست که 80% از سازمان‌های مورد بررسی حداقل یک مورد نقض مرتبط با ضعف احراز هویت را تجربه کرده‌اند. احراز هویت بانکی یکی از آسیب‌پذیرترین‌ها در این گزارش است و 90% از بانک‌های کوچک‌تر (<500 کارمند) دچار نقض ناشی از ضعف‌های احراز هویت در 12 ماه گذشته شده‌اند. این شکست‌های امنیتی در حوزه احراز هویت برای سازمان‌های مالی به طور متوسط 2.2 میلیون دلار در سال هزینه دارد.

نگران‌کننده‌ترین این است که 63% از سازمان‌هایی که نقض شده‌اند، هنوز هیچ کاری برای تغییر پروتکل‌های امنیتی خود برای احراز هویت و دسترسی به خدمات و سیستم‌های مالی انجام نداده‌اند.

 

حس کاذب امنیت

عدم اقدام ممکن است با عدم آگاهی از اینکه روش‌های فعلی احراز هویت، سازمان‌های مالی را در معرض خطر قرار می‌دهند، توضیح داده شود. این گزارش چندین ناهمگونی بین سطوح درک شده امنیت احراز هویت و میزان امنیت واقعی احراز هویت و دسترسی به خدمات و سیستم‌های موسسات مالی را شناسایی می‌کند. اکثریت قریب به اتفاق شرکت‌کنندگان (۹۰%) علیرغم اینکه با نقض‌های مرتبط با احراز هویت مواجه شده‌اند، همچنان ادعا می‌کنند که رویکرد فعلی آن‌ها کاملاً یا عمدتاً امن است.

اطمینان به سطوح امنیتی همچنین با بخش قابل توجهی از پاسخ‌دهندگانی که اعتراف می‌کنند کارمندانشان از روش‌های تأیید اعتبار قدیمی و ناامن مانند رمز عبور، پیامک و OTP استفاده می‌کنند، در تناقض است. باورنکردنی است که نزدیک به یک چهارم از سازمان‌ها در برخی موارد فقط از نام کاربری و رمز عبور استفاده می‌کنند.

 

شیوه تایید هویت چندعاملی سنتی در مقابل MFA مقاوم به فیشینگ

چقدر تایید هویت چندعاملی امن است؟ در مورد MFA سنتی سردرگمی وجود دارد. در حالی که زمانی بهترین روش در نظر گرفته می‌شد، بسیاری از حملات مدرن می‌توانند MFA سنتی را دور بزنند و باعث شوند تا به عنوان یک اقدام دفاعی بسیار کم‌اثر باشد. نمونه بارز آن سرقت 34 میلیون دلاری از صرافی ارزهای دیجیتال Crypto.com پس از آن است که هکرها کنترل‌های MFA آن‌ها را دور زدند.

چنین حملاتی باعث شده است تا نهادهای نظارتی مختلف، از جمله آژانس امنیت سایبری و زیرساخت‌های امنیت سایبری ایالات متحده (CISA)، خواستار استفاده از تایید هویت چندعاملی مقاوم در برابر فیشینگ شوند. با این حال، آگاهی از این امر در بین تصمیم‌گیرندگان امنیتی فناوری اطلاعات در سازمان‌های خدمات مالی یا کم است یا نادیده گرفته می‌شود. اکثریت قریب به اتفاق افراد مورد بررسی (۸۴%) احساس می‌کنند که احراز هویت چندعاملی سنتی امنیت کامل را فراهم می‌کند.

این سردرگمی نیاز به آموزش بیشتر در مورد روش‌های احراز هویت که قابل فیشینگ هستند و یا نیستند را برجسته می‌کند. در غیر این صورت، روش‌های احراز هویت مورد استفاده توسط بانک‌ها و سایر سازمان‌های خدمات مالی همچنان منجر به نقض امنیت خواهد شد.

 

تایید هویت چندعاملی بدون رمز عبور راه پیش رو است

یک نقطه روشن این است که سازمان‌های مالی متوجه شده‌اند که چگونه می‌توانند کمبودهای احراز هویت خود را اصلاح کنند. از بین متخصصان فناوری اطلاعات و امنیت مورد بررسی، 89% می‌دانند که احراز هویت چندعاملی (MFA) بدون رمز عبور برای دستیابی به بالاترین سطح امنیت احراز هویت ضروری است و تعداد مشابهی نیز می‌گویند که تجربه کاربری را بهبود می‌بخشد. علاوه بر این، 90% موافقند که این شیوه، مزایای هزینه نسبت به روش‌های سنتی احراز هویت را جبران می‌کند. عواملی مانند تأثیر بر بهره‌وری، دشواری‌های استفاده از رمزهای عبور و هزینه‌های میز خدمت به عنوان محرک‌های اصلی پذیرش عنوان شده‌اند.

 

نشانه و احراز هویت در صنعت مالی

با ادامه تحول عملیات و مدل‌های تجاری صنعت مالی، سازمان‌ها با خطرات امنیتی بی‌سابقه و پویایی مواجه هستند. دیجیتالی شدن سریع، اتصال به سیستم‌های شخص ثالث، مهاجرت به ابر و تغییر الگوهای کاری، همگی درهای جدیدی برای حملات باز می‌کنند.

بزرگترین حوزه آسیب‌پذیری همچنان پروتکل‌های محافظت از احراز هویت و دسترسی به خدمات و سیستم‌های موسسات مالی است. خوشبختانه، فناوری‌هایی برای رفع این مشکل وجود دارد. تایید هویت چندعاملی (MFA) بدون رمز عبور نشانه، که در شرکت رهسا (ره‌آورد سامانه‌های امن) توسعه داده شده است، مقاوم در برابر فیشینگ بوده و به بانک‌ها و سازمان‌های مالی امکان می‌دهد تا امنیت بالاتر و تجربه کاربری ساده‌تر برای کارمندان و حتی کاربران خود فراهم نمایند.

برای کسب اطلاعات بیشتر در مورد محصول نشانه و یا هر گونه سوال و مشکل در این حوزه، با کارشناسان نشانه تماس حاصل فرمایید.
اطلاعات بیشتر در خصوص احراز هویت چند عاملی و شیوه‌های نوین آن را در مقاله احراز هویت چند عاملی MFA: مزایا، معایب، آینده مطالعه کنید.